AMSI-Provider
"AMSI-Provider" ist für die Unterstützung der Microsoft-Schnittstelle für "Antimalware Scan Interface" vorgesehen. Mithilfe Schnittstelle für Antimalware Scan Interface (AMSI) können Dritthersteller-Anwendungen, die AMSI unterstützen, Objekte (z. B. PowerShell-Skripte) für eine zusätzliche Untersuchung an Kaspersky Endpoint Security senden und Untersuchungsergebnisse für diese Objekte erhalten. Dritthersteller-Anwendungen können z. B. Microsoft-Office-Programme sein (siehe folgende Abb.). Details über die AMSI-Schnittstelle finden Sie in der Dokumentation von Microsoft.
Die Funktion von "AMSI-Provider" ist darauf beschränkt, eine Bedrohung zu erkennen und eine Dritthersteller-Anwendung über die gefundene Bedrohung zu benachrichtigen. Nachdem eine Dritthersteller-Anwendung über eine Bedrohung benachrichtigt wurde, verbietet sie die Ausführung schädlicher Aktionen (z. B. Programm beenden).
Beispiel für die Funktionsweise von AMSI
Die Komponente "AMSI-Provider" kann die Anfrage einer Dritthersteller-Anwendung zurückweisen. Dies ist beispielsweise möglich, wenn diese Anwendung die maximale Anzahl von Anfragen innerhalb des festgelegten Zeitraum erreicht hat. Kaspersky Endpoint Security sendet Informationen über die Ablehnung der Anfrage einer Dritthersteller-Anwendung an den Administrationsserver. Die Komponente "AMSI-Provider" weist Anfragen von jenen Dritthersteller-Anwendungen nicht zurück, für die das Kontrollkästchen Interaktion mit AMSI-Provider nicht blockieren aktiviert ist.
"AMSI-Provider" ist für die folgenden Betriebssysteme für Workstations und Server verfügbar:
- Windows 10 Home / Pro / Education / Enterprise
- Windows Server 2016 Essentials / Standard / Datacenter
- Windows Server 2019 Essentials / Standard / Datacenter
Einstellungen der Komponente "AMSI-Provider"
Einstellung
Beschreibung
Archive untersuchen
Dieses Kontrollkästchen aktiviert / deaktiviert die Untersuchung von Archiven der Formate rar, arj, zip, cab, lha, jar, ice.
Programmpakete untersuchen
Dieses Kontrollkästchen aktiviert / deaktiviert die Untersuchung der Programmpakete von Drittherstellern.
Office-Format-Dateien untersuchen
Das Kontrollkästchen aktiviert/deaktiviert die Untersuchung von Dateien für Microsoft Office (DOC, DOCX, XLS, PPT u. a.).
Zu den Office-Format-Dateien zählen auch OLE-Objekte.
Große zusammengesetzte Dateien nicht entpacken
Ist das Kontrollkästchen aktiviert, so werden zusammengesetzte Dateien, welche die festgelegte Größe überschreiten, nicht von Kaspersky Endpoint Security untersucht.
Ist dieses Kontrollkästchen deaktiviert, untersucht Kaspersky Endpoint Security zusammengesetzte Dateien unabhängig von ihrer Größe.
Unabhängig davon, ob das Kontrollkästchen Große zusammengesetzte Dateien nicht entpacken aktiviert ist, werden umfangreiche Dateien beim Extrahieren aus Archiven von Kaspersky Endpoint Security untersucht.